Proxymus 10 Geschrieben 6. Februar 2008 Melden Teilen Geschrieben 6. Februar 2008 Hallo, ich teste gerade Cisco's 802.1x in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows. Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird. Die für das MAB benötigten MAC-Adressen stehen in einer externen Datenbank. So wie es aussieht, kann ich für den MAB nicht direkt auf eine externe Datenbank zugreifen. Cisco verweist in seinen Dokumentation nur auf die Möglichkeit Benutzer zu authentifizieren. User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems Zusätzlich würde ich PC's bei fehlgeschlagener Authentifizierung gern in ein Gäste-VLAN mappen. Der Port ist wie folgt konfiguriert: Current configuration : 283 bytes ! interface FastEthernet0/5 switchport mode access no snmp trap link-status dot1x mac-auth-bypass dot1x pae authenticator dot1x port-control auto dot1x timeout quiet-period 10 dot1x timeout tx-period 5 dot1x reauthentication dot1x guest-vlan 100 spanning-tree portfast end Dot1x Info for FastEthernet0/5 ----------------------------------- PAE = AUTHENTICATOR PortControl = AUTO ControlDirection = Both HostMode = SINGLE_HOST ReAuthentication = Enabled QuietPeriod = 10 ServerTimeout = 30 SuppTimeout = 30 ReAuthPeriod = 3600 (Locally configured) ReAuthMax = 2 MaxReq = 2 TxPeriod = 5 RateLimitPeriod = 0 Mac-Auth-Bypass = Enabled Inactivity Timeout = None Guest-Vlan = 100 Dot1x Authenticator Client List Empty Domain = DATA Port Status = UNAUTHORIZED Switch>show int status Fa0/5 notconnect 1 a-full a-100 10/100BaseTX Bei fehlgeschlagener Authentifizierung geht der Port aber nicht in das Gäste-VLAN, sondern in den Unauthorized Status. Hat hier jemand schon Erfahrungen gesammelt und weiß Rat? Bin für jeden Tipp dankbar. Gruß Proxymus Zitieren Link zu diesem Kommentar
Proxymus 10 Geschrieben 6. Februar 2008 Autor Melden Teilen Geschrieben 6. Februar 2008 Ein Möglichkeit für den MAB ist die MAC-Adresse im Network Access Profil (NAP) im Punkt Authentication per Hand anzulegen/einzutragen. Für Tests funktioniert dies auch, allerdings ist für eine große Clientanzahl kein gangbarer Weg. :( Bliebe der Import der ODBC Datenbank. Allerdings müsste man hier wissen welches Format für User und Passwort nötig ist. When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured. Meine bis jetzt getätigten Versuche User in Form von MAC-Adressen anzulegen scheiterten bislang. Weiß jemand ob dies überhaupt funktioniert? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.